Pesquisadores do Insikt Group, a equipe de pesquisas da empresa Recorded Future, descobriram que o APT Salt Typhoon (ator de ameaças patrocinado pelo estado chinês que o Insikt Group rastreia como “RedMike”) continua atacando empresas de telecomunicações. Entre dezembro de 2024 e janeiro de 2025, os pesquisadores localizaram uma campanha que explorava dispositivos de rede Cisco conectados à Internet e desatualizados, para comprometer várias organizações. Entre elas estão a subsidiária americana de uma operadora do Reino Unido e uma operadora de telecomunicações da África do Sul. Os ataques exploraram o CVE-2023-20273 (CVSS 7.2), uma falha de escalonamento de privilégios que afeta o recurso de interface de usuário da web do Cisco IOS XE Software.
Leia também
Falha no bootloader de 100 modelos Cisco
Nuvem é usada para espionar operadoras de telecom
O Insikt Group afirma que “o RedMike tentou explorar mais de 1.000 dispositivos Cisco globalmente. O grupo provavelmente compilou uma lista de dispositivos alvo com base em sua associação com redes de provedores de telecomunicações. O Insikt Group também observou o RedMike mirando dispositivos associados a universidades na Argentina, Bangladesh, Indonésia, Malásia, México, Holanda, Tailândia, Estados Unidos (EUA) e Vietnã. O RedMike possivelmente mirou nessas universidades para acessar pesquisas em áreas relacionadas a telecomunicações, engenharia e tecnologia, particularmente em instituições como UCLA e TU Delft. Além dessa atividade, em meados de dezembro de 2024, o RedMike também realizou um reconhecimento de vários endereços IP de propriedade de um provedor de telecomunicações baseado em Mianmar, Mytel.”
